Datenschutz: Haftungsrisiko bei unterlassener Mitarbeiterschulung

PrintMailRate-it

zuletzt aktualisiert am 22. Mai 2019


Das Risiko, im Falle einer nicht nachweisbaren Mitarbeiterschulung bei einem Datenschutz-Bußgeld auch persönlich haftbar gemacht zu werden, wird von Geschäftsführern oft unterschätzt. Die Datenschutz­schulung muss der Herausforderung gerecht werden, die Mitarbeiter in ihrem konkreten Arbeitsalltag anzusprechen. Rödl & Partner hat dazu ein Video-Tutorial speziell für Pflege­ein­richtungen und Pflegedienste herausgebracht.


 

   

Nach Artikel 32 Abs. 1 der DSGVO ist der Verantwortliche verpflichtet, geeignete technische und organisa­torische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau für die Sicherheit der personenbezogenen Daten zu gewährleisten. Je nach Branche kommt ein geringerer oder auch größerer Anteil der Mitarbeiter in der täglichen Arbeit mit personenbezogenen Daten in Berührung. In Sozialunternehmen – seien es Pflegeeinrichtungen, Pflegedienste, Krankenhäuser oder komplexe Sozialträger – betrifft das bspw. so gut wie jeden Mitarbeiter. Hinzu kommt, dass es sich bei den verarbeiteten personenbezogenen Daten um sensible Daten handelt, für die die besonderen Regelungen des Art. 9 DSGVO gelten.


Mitarbeiterschulung als Pflichtaufgabe

Die Einhaltung der grundlegenden datenschutzrechtlichen Vorgaben nach Art. 5 Abs. 1 DSGVO ist also ohne ein datenschutzkonformes Verhalten der Mitarbeiter nicht zu erreichen. Damit zählt das aktive und nachweisbare Bemühen der Geschäftsführung um das datenschutzkonforme Verhalten der Mitarbeiter unmittelbar zu den Nachweispflichten des Verantwortlichen i.S.d. in Abs. 2 in Art. 5 DSGVO („Der Verantwortliche ist für die Einhaltung des Abs. 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).”)

Wenn es zu einem Datenschutzverstoß kommen sollte und eine angemessene Schulung der Mitarbeiter nicht erfolgte oder nicht nachweisbar ist, besteht unmittelbar die Gefahr eines Bußgeldes. Nach Art. 83 Abs. 5 DSGVO drohen bei einem solchen Verstoß gegen die Grundsätze der Verarbeitung Geldbußen von bis zu 20 Mio. Euro bzw. bis zu 4 Prozent des Jahresumsatzes des vorangegangenen Geschäftsjahrs.

Die DSGVO konkretisiert insoweit die Pflicht der gesetzlichen Vertreter einer Organisation, Maßnahmen zu ergreifen, um das rechtskonforme Verhalten der Organisation sicherzustellen. Anderenfalls besteht im Fall eines Verstoßes ggf. der Verdacht auf ein sog. Organisationsverschulden. In dem Zusammenhang ist oft leider nicht bekannt, dass die Haftung auch solche gesetzlichen Vertreter trifft, die lediglich ehrenamtlich tätig sind, z.B. ehrenamtliche Vorstände eines e.V. sind. Im Falle eines Bußgeldes, das u.a. auf das Unterbleiben einer Mitarbeiterschulung zurückzuführen ist, besteht daher für die Geschäftsführung bzw. für den Vorstand das Risiko, dass sie von der Organisation im Innenverhältnis für das Bußgeld haftbar gemacht werden.

Im Interesse des Unternehmens und zur Vermeidung einer persönlichen Haftung ist es also dringend geboten, eine aktuelle, auf die neue Rechtslage angepasste Datenschutzschulung für alle Mitarbeiter durchzuführen und sie auch auf Ebene des einzelnen Teilnehmers zu dokumentieren.


Aufsetzen auf der richtigen Rechtsgrundlage

Für die Sozialwirtschaft bestehen zahlreiche Besonderheiten. Neben der DSGVO, dem BDSG und Landesdaten­schutzgesetzen bestehen bspw. separate Gesetze der Kirchen. Im Bereich der Evangelischen Kirche in Deutschland ist das EKD-Datenschutzgesetz in Kraft getreten. Für die katholische Kirche gibt es das Gesetz über den kirchlichen Datenschutz (KDG), das für die Organisation der Kirche selbst, die Caritas und weitere kirchliche Rechtsträger gilt, sowie außerdem die Kirchliche Datenschutzregelung der Ordensgemeinschaft (KDR-OG) mit Geltung für die Ordensgemeinschaften des päpstlichen Rechts.

Für sog. nicht-öffentliche Stellen gelten stets die DSGVO und bestimmte Regelungen des BDSG (neu). Mit der Bezeichnung „nicht-öffentliche Stellen” werden – allgemein umschrieben – Unternehmen und deren Handeln von staatlichen Einrichtungen abgegrenzt. Als öffentliche Stellen gelten in diesem Sinne Behörden, aber auch Krankenhäuser, Verkehrsbetriebe oder Stadtwerke. Bei ihnen ist im jeweiligen Einzelfall zu klären, ob neben der DSGVO entweder das BDSG (neu) oder das jeweilige Landesdatenschutzgesetz Anwendung findet. Für das Handeln einer öffentlichen Stelle, mit dem sie am Wettbewerb teilnehmen, gilt dieselbe Rechtslage wie für nicht-öffentliche Stellen. Für Unternehmen der Sozial- und Gesundheitswirtschaft ist daher die Beantwortung der Frage nach den geltenden Rechtsnormen nicht immer einfach.


Wichtige Inhalte einer Mitarbeiterschulung zum Datenschutz

Die Praxis der Datenschutzbeauftragten zeigt, dass trotz der intensiven Medienberichterstattung zum Thema Datenschutz, die 2018 zu beobachten war, bei vielen Mitarbeitern noch eine hohe Arglosigkeit beim Thema Datenschutz festzustellen ist. Daher ist eine grundlegende Form der Sensibilisierung durch eine Schulung angeraten, also bspw.:
  • Grundwissen zu personenbezogenen Daten und dem Schutzniveau lt. DSGVO;
  • Arbeitsvertragliche Pflichten, berufsrechtliche Pflichten, Strafvorschriften;
  • Datenschutzkonformes Verhalten auch außerhalb der Dienstzeiten;
  • Organisatorische Grundlagen des Datenschutzes im Unternehmen; 
  • Richtlinien und Prozessvorgaben, denn sie haben Bezug zum Datenschutz;
  • Grundregeln zum Datenschutz am Arbeitsplatz und bei der IT-Nutzung.

Der praktische Nutzen einer Datenschutzschulung hängt jenseits davon allerdings v.a. davon ab, ob die alltäglichen Fragen und Nöte der Mitarbeiter in Sachen Datenschutz angesprochen und beantwortet werden. Standardlösungen ohne Bezug zur Branche können diesen Bedarf häufig nicht decken. Ein typisches Beispiel ist die Pflegebranche. Typische pflegebezogene Inhalte und Probleme, die angesprochen werden sollten, sind bspw.:
  • Schweigepflicht und Datengeheimnis;
  • Besondere personenbezogene Daten;
  • Typische Missverständnisse zum Datenschutz in der Pflege;
  • Datenschutz auf der Station und beim Klienten zu Hause;
  • Interessenten und neu aufgenommene Bewohner;
  • Kollegen, Mitarbeiter, Dienstpläne etc.;
  • Datenschutzpannen in der Pflege;
  • Kommunikation mit Angehörigen;
  • Kommunikation mit Hausarzt und Krankenhaus;
  • Kommunikation mit Behörden;
  • Datenschutz im Todesfall;
  • Wichtige Unterstützungsfunktionen: Verwaltung, Personal, Finanzen, Hauswirtschaft etc.


Videotutorial von Rödl & Partner

Die Unterrichtung der Beschäftigten zum Datenschutz zählt nach Art. 39 Abs. 1 lit a) DSGVO zu den gesetz­mäßigen Aufgaben des Datenschutzbeauftragten. Zahlreiche Unternehmen, so auch viele Pflegeeinrichtungen, nutzen allerdings die Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen. Die Wahrnehmung von Schulungsterminen durch ihn ist dann oftmals mit Zusatzkosten verbunden. Hinzu kommt, dass die traditionelle Präsenzschulung als Schulungsformat in vielen Branchen mit Nachteilen behaftet ist, da die Mitarbeiter bspw. im Schichtdienst tätig sind und daher nicht alle mit einem einzigen Termin erreicht werden können. Krankheiten, Fortbildungen und Urlaube schlagen weitere Lücken in die Anwesenheit der Mitarbeiter.

Rödl & Partner hat ein Video-Tutorial zum Datenschutz speziell für Pflegeeinrichtungen entwickelt, das die branchenspezifischen Fragestellungen verständlich beantwortet und mit dessen Hilfe der erforderliche Nachweis einer vollständigen Mitarbeiterschulung im Datenschutz leicht geführt werden kann.

Kontakt

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Zertifizierter Datenschutzbeauftragter

Associate Partner

+49 911 9193 3628
+49 911 9193 3579

Anfrage senden

 Bleiben Sie informiert!

 Unternehmer­briefing

Kein Themen­special verpas­sen mit unserem Newsletter!

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu